Quote from the book "Информационная безопасность. Национальные стандарты Российской Федерации"

уровня. Для управления операционным риском, связанным с безопасностью информации, финансовой организации стандарт рекомендует обеспечить: • идентификацию и учет объектов информатизации, в том числе АС; • применение на различных уровнях информационной инфраструктуры выбранных мер защиты информации, направленных на непосредственное обеспечение защиты информации; • применение выбранных мер защиты информации, обеспечивающих приемлемые для финансовой организации полноту и качество защиты информации, входящих в систему организации и управления защитой информации; • применение выбранных мер защиты информации, направленных на обеспечение защиты информации на всех стадиях жизненного цикла АС и приложений; • оценку остаточного операционного риска, вызванного неполным или некачественным выбором и применением мер защиты информации, и обработку указанного риска в соответствии с процедурой, определенной требованиями нормативных актов Банка России. Стандарт определяет три уровня защиты информации: • уровень 3 – минимальный; • уровень 2 – стандартный; • уровень 1 – усиленный.